Windows事件追踪工具入门及技巧.docxVIP

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
PAGE 1 PAGE 1 Windows事件追踪工具入门及技巧 本文将向您推荐Windows事件追踪(ETW)工具,它虽然是个老工具,但用新的视角看待它将会带来意想不到的好处。 虽然大多数Windows开发者都知道Windows事件追踪(EventTracingforWindows,ETW)是一个日志记录和事件追踪工具,但是很多管理员却从没听说过它,只是简洁地认为ETW不过是操作系统供应的事件日志记录与追踪功能的一部分。ETW在内核中运行,可以追踪用户模式应用程序、操作系统内核和内核模式设备驱动引发的事件。 一些操作系统核心组件和第三方应用程序使用Windows事件追踪来供应事件日志记录和追踪。虽然在Windows2000中第一次发布时,Windows事件追踪只有在Windows检查版本中才能使用,但现在它已经是全部Windows版本的内置工具。 Windows事件追踪(ETW)入门 在Windows服务器故障诊断和排错方面,一直就没有多少信息可以参考。管理员总是竭尽所能四处查找各种可能的信息来确定故障。所以就有了诸如进程监视器、进程资源管理器、性能监视器(PerfMon)和性能分析日志(PAL)等多种工具来帮助我们获取远多于事件日志的信息,但不幸的是,有时候我们还需要更多的信息。 ETW无需额外的设备就可以收集足够的信息,而且有诸多优点。例如: ·使用非页面池的每处理器内核缓冲区,这样不会受到应用程序崩溃和挂起的影响 ·极低的CPU消耗 ·适用用于X86、X64和IA64的系统架构 ·无需重启应用程序就能启动和关闭追踪 Windows事件追踪好像是个伟大的工具,但是使用此工具有个另一个问题,没有图像界面或者用户向导。而且,在输出可分析的结果之前,需要做一些初始化工作。 为了输出有效的结果,您需要一个消费者(consumer)。在WindowsSerer中生成一个名为Tracerpt.exe的消费者。正如您所知道的,Tracerpt命令的特点就是可以供应特定的输出格式,所以重要的是能娴熟把握Tracerpt和Logman这些工具,它们是Windows2003及以后系统的内置工具,如Windows7和Vista。 同样重要的是理解ETW的架构。如图显示,掌握器用于启动和停止一个追踪对话。在windowsServer2003和2008中,掌握器工具是Logman.exe。 图1.ETW架构 WindowsServer2003还包含返回特定事件的一小部分事件供应者,其中包括下面的这些活动目录相关的供应者: ·ActiveDirectory:Core ·ActiveDirectory:Kerberos ·ActiveDirectory:SAM ·ActiveDirectory:NetLogon 例如,指定ActiveDirectory:Kerberos作为供应者只会返回Kerberos特定事件。 Windows版本不同,事件供应者也有所不同。例如,WindowsServer2003有22个供应者,Windows2008有387个。它供应了更强大的追踪和更多的追踪范围。然而,当涉及LDAP流量时,作为供应者的ActiveDirectory:Core对于两个Windows版原来说基本上是一样的。 您也能捆绑多个事件供应者到一个追踪中。因为上面例子上提到了Kerberos身份验证,所以我在这里仍旧使用ActiveDirectory:Kerberos和ActiveDirectory:Core供应者举例,同时使用Logman命令和参数-PL,如下面的例子所示: LogmanCreateTraceCoreKerb–pfc:\etw\input.txt–oc:\etw\coreKerb 参数-pf的意思是读一个输入文本文件(如本例中的input.txt)。其格式如图2所示。 图2.输入文本文件格式 本文将向您推荐Windows事件追踪(ETW)工具,它虽然是个老工具,但用新的视角看待它将会带来意想不到的好处。 虽然大多数Windows开发者都知道Windows事件追踪(EventTracingforWindows,ETW)是一个日志记录和事件追踪工具,但是很多管理员却从没听说过它,只是简洁地认为ETW不过是操作系统供应的事件日志记录与追踪功能的一部分。ETW在内核中运行,可以追踪用户模式应用程序、操作系统内核和内核模式设备驱动引发的事件。 一些操

文档评论(0)

183****5020 + 关注
实名认证
文档贡献者

本账号部分文档来源于互联网和内部收集,仅用于学习交流,版权为原作者所有;文档内容纯属来自网络意见,与本账号立场无关。涉及政治言论一律相应删除,请大家监督;请下载试用后二十四小时内删除。

1亿VIP精品文档

相关文档